EdgeStepper Backdoor

చైనాతో పొత్తు పెట్టుకున్న ప్లష్‌డెమన్ అనే బెదిరింపు నాయకుడిని కొత్తగా వెలికితీసిన గో ఆధారిత నెట్‌వర్క్ బ్యాక్‌డోర్ ఎడ్జ్‌స్టెప్పర్‌తో అనుసంధానించారు, ఇది ప్రత్యర్థి మధ్యలో (AitM) కార్యకలాపాలకు మద్దతు ఇవ్వడానికి రూపొందించబడిన సాధనం. DNS స్థాయిలో నెట్‌వర్క్ ట్రాఫిక్‌ను మార్చడం ద్వారా, ఈ సమూహం బహుళ ప్రాంతాలలో లక్ష్యంగా చేసుకున్న చొరబాటు ప్రచారాల కోసం డేటా ప్రవాహాలను అడ్డగించే మరియు దారి మళ్లించే సామర్థ్యాన్ని విస్తరించింది.

ఎడ్జ్‌స్టెప్పర్: ట్రాఫిక్‌ను హానికరమైన మౌలిక సదుపాయాలకు మళ్లించడం

EdgeStepper నెట్‌వర్క్-స్థాయి హైజాకింగ్ మెకానిజం వలె పనిచేస్తుంది. ఒకసారి అమలు చేసిన తర్వాత, ఇది ప్రతి DNS అభ్యర్థనను బాహ్య హానికరమైన నోడ్‌కి రీరూట్ చేస్తుంది. ఈ మానిప్యులేషన్ చట్టబద్ధమైన సాఫ్ట్‌వేర్-అప్‌డేట్ ఇన్‌ఫ్రాస్ట్రక్చర్ కోసం ఉద్దేశించిన ట్రాఫిక్‌ను మళ్లిస్తుంది మరియు బదులుగా దానిని దాడి చేసేవారి నియంత్రణలో ఉన్న సిస్టమ్‌లకు ఫార్వార్డ్ చేస్తుంది.

అంతర్గతంగా, సాధనం రెండు ప్రాథమిక మాడ్యూళ్ల ద్వారా పనిచేస్తుంది. డిస్ట్రిబ్యూటర్ హానికరమైన DNS నోడ్ యొక్క చిరునామాను (ఉదా., test.dsc.wcsset.com) పరిష్కరిస్తాడు, అయితే రూలర్ రీడైరెక్షన్‌ను అమలు చేయడానికి iptables ద్వారా ప్యాకెట్-ఫిల్టరింగ్ నియమాలను కాన్ఫిగర్ చేస్తాడు. కొన్ని సందర్భాల్లో, DNS నోడ్ మరియు హైజాకింగ్ నోడ్ ఒకేలా ఉంటాయి, దీని వలన స్పూఫింగ్ ప్రక్రియ సమయంలో DNS సేవ దాని స్వంత IP చిరునామాను తిరిగి ఇస్తుంది.

దీర్ఘకాలిక కార్యకలాపాలు మరియు గ్లోబల్ టార్గెటింగ్

కనీసం 2018 నుండి క్రియాశీలకంగా ఉన్న PlushDaemon, US, న్యూజిలాండ్, కంబోడియా, హాంకాంగ్, తైవాన్, దక్షిణ కొరియా మరియు చైనా ప్రధాన భూభాగం అంతటా ఉన్న సంస్థలపై దృష్టి సారించింది. దక్షిణ కొరియా VPN ప్రొవైడర్ IPany పాల్గొన్న సరఫరా గొలుసు రాజీపై దర్యాప్తు సందర్భంగా జనవరి 2025లో దీని కార్యకలాపాలు అధికారికంగా నివేదించబడ్డాయి. ఆ సంఘటన దాడి చేసినవారు సెమీకండక్టర్ సంస్థ మరియు గుర్తించబడని సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ కంపెనీ రెండింటిపై మల్టీఫంక్షనల్ ఇంప్లాంట్ స్లోస్టెప్పర్‌ను ఎలా మోహరించారో వెల్లడించింది.

తరువాతి పరిశోధనలో గుర్తించబడిన అదనపు బాధితులలో బీజింగ్‌లోని ఒక విశ్వవిద్యాలయం, తైవాన్‌లోని ఒక ఎలక్ట్రానిక్స్ తయారీదారు, ఒక ఆటోమోటివ్ కంపెనీ మరియు జపనీస్ తయారీ సంస్థ యొక్క ప్రాంతీయ శాఖ ఉన్నాయి. విశ్లేషకులు 2025లో కంబోడియాలో మరిన్ని కార్యకలాపాలను నమోదు చేశారు, అక్కడ ఆటోమోటివ్ రంగంలో ఒకటి మరియు జపనీస్ తయారీదారుతో ముడిపడి ఉన్న మరొక సంస్థ స్లోస్టెప్పర్‌తో లక్ష్యంగా చేసుకున్నాయి.

AitM పాయిజనింగ్: ప్లష్‌డీమన్ యొక్క ప్రాథమిక ప్రవేశ వ్యూహం

ఈ గ్రూప్ దాని ప్రారంభ చొరబాటు సాంకేతికతగా AitM విషప్రయోగంపై ఎక్కువగా ఆధారపడుతుంది, ఈ ధోరణి LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood మరియు FontGoblin వంటి ఇతర చైనా-అనుబంధ APT క్లస్టర్‌లలో ఎక్కువగా పంచుకోబడుతుంది. బాధితుడు కనెక్ట్ అయ్యే అవకాశం ఉన్న ఎడ్జ్ నెట్‌వర్క్ పరికరాన్ని రాజీ చేయడం ద్వారా PlushDaemon దాని దాడి గొలుసును ప్రారంభిస్తుంది. రాజీ సాధారణంగా అన్‌ప్యాచ్డ్ దుర్బలత్వాలు లేదా బలహీనమైన ప్రామాణీకరణ నుండి పుడుతుంది.

పరికరం నియంత్రణలోకి వచ్చిన తర్వాత, DNS ట్రాఫిక్‌ను మార్చడానికి EdgeStepper ఇన్‌స్టాల్ చేయబడుతుంది. హానికరమైన DNS నోడ్ ఇన్‌కమింగ్ అభ్యర్థనలను మూల్యాంకనం చేస్తుంది మరియు సాఫ్ట్‌వేర్ నవీకరణలతో ముడిపడి ఉన్న డొమైన్‌లను గుర్తించేటప్పుడు, హైజాకింగ్ నోడ్ యొక్క IP చిరునామాతో ప్రతిస్పందిస్తుంది. ఈ సెటప్ వెంటనే అనుమానం రాకుండా పేలోడ్‌ల యొక్క హానికరమైన డెలివరీని అనుమతిస్తుంది.

హైజాక్ చేయబడిన అప్‌డేట్ ఛానెల్‌లు మరియు డిప్లాయ్‌మెంట్ చైన్

PlushDaemon యొక్క ప్రచారం ప్రత్యేకంగా Sogou Pinyinతో సహా అనేక చైనీస్ అప్లికేషన్‌లు చట్టబద్ధమైన నవీకరణ ట్రాఫిక్‌ను దారి మళ్లించడానికి ఉపయోగించే నవీకరణ విధానాలను తనిఖీ చేస్తుంది. ఈ మానిప్యులేషన్ ద్వారా, దాడి చేసేవారు LittleDaemon (popup_4.2.0.2246.dll) అనే హానికరమైన DLLను పంపిణీ చేస్తారు, ఇది మొదటి దశ ఇంప్లాంట్‌గా పనిచేస్తుంది. సిస్టమ్ ఇప్పటికే SlowStepper బ్యాక్‌డోర్‌ను హోస్ట్ చేయకపోతే, LittleDaemon దాడి చేసే నోడ్‌ను సంప్రదించి DaemonicLogistics అనే డౌన్‌లోడ్‌ను తిరిగి పొందుతుంది.

డెమోనిక్ లాజిస్టిక్స్ పాత్ర చాలా సులభం: స్లోస్టెప్పర్‌ను డౌన్‌లోడ్ చేసి అమలు చేయండి. ఒకసారి యాక్టివ్ అయిన తర్వాత, స్లోస్టెప్పర్ సిస్టమ్ వివరాలను సేకరించడం, ఫైల్‌లను పొందడం, బ్రౌజర్ ఆధారాలను సంగ్రహించడం, బహుళ మెసేజింగ్ అప్లికేషన్‌ల నుండి డేటాను లాగడం మరియు అవసరమైతే దానిని తొలగించడం వంటి విస్తృత శ్రేణి సామర్థ్యాలను అందిస్తుంది.

సమన్వయ ఇంప్లాంట్ల ద్వారా విస్తరించిన సామర్థ్యాలు

EdgeStepper, LittleDaemon, DaemonicLogistics మరియు SlowStepper ల మిశ్రమ కార్యాచరణ PlushDaemon ను ప్రపంచవ్యాప్తంగా ఉన్న సంస్థలను రాజీ చేయగల సమగ్ర టూల్‌సెట్‌తో సన్నద్ధం చేస్తుంది. వాటి సమన్వయ ఉపయోగం సమూహానికి నిరంతర యాక్సెస్, డేటా-దొంగతనం సామర్థ్యాలు మరియు దీర్ఘకాలిక క్రాస్-రీజియన్ కార్యకలాపాల కోసం సౌకర్యవంతమైన మౌలిక సదుపాయాలను అందిస్తుంది.

కీలక పరిశీలనలు

PlushDaemon యొక్క కార్యకలాపాలు అనేక స్థిరమైన ఇతివృత్తాలను వెల్లడిస్తాయి. ఈ సమూహం ప్రారంభ పట్టు సాధించడానికి దాని ప్రాధాన్యత పద్ధతిగా ప్రత్యర్థి-ఇన్-ది-మిడిల్ పాయిజనింగ్‌పై ఎక్కువగా ఆధారపడుతుంది, నెట్‌వర్క్ అంచు వద్ద ట్రాఫిక్‌ను అడ్డగించడానికి మరియు దారి మళ్లించడానికి దీనిని ఉపయోగిస్తుంది. లక్ష్యం రాజీపడిన తర్వాత, ముప్పు కలిగించే వ్యక్తి దాని ప్రధాన పోస్ట్-ఇంట్రూషన్ ఇంప్లాంట్‌గా SlowStepperపై ఆధారపడతాడు, దాని విస్తృతమైన డేటా-సేకరణ మరియు సిస్టమ్-నిఘా లక్షణాలను సద్వినియోగం చేసుకుంటాడు. ఈ వర్క్‌ఫ్లో యొక్క ప్రభావం DNS ప్రతిస్పందనలను మార్చగల EdgeStepper సామర్థ్యం ద్వారా బలోపేతం అవుతుంది, ఇది దాడి చేసేవారు చట్టబద్ధమైన సాఫ్ట్‌వేర్ నవీకరణ ట్రాఫిక్‌ను వారి స్వంత మౌలిక సదుపాయాల వైపు నిశ్శబ్దంగా మళ్లించడానికి అనుమతిస్తుంది.